Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 22/2022)“
Hier ist der 40. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 22/2022)“.
Wow, 40 Blogbeiträge und zwei Zwischenspiele. Da ist ja Einiges zusammen gekommen in den letzten 13 Monaten. Apropos zusammen gekommen: Dieser Blogbeitrag ist wieder etwas länger. Aber es ist ja auch ein langes Wochenende. Viel Erkenntnisgewinn beim Lesen und Anschauen.
- Aufsichtsbehörden
- BfDI: Anhörung zu Facebook-Fanpages
- LfD Bayern: Rund um die DSFA
- BayLDA: Hilfestellungen für Absicherung von E-Mail-Accounts
- Mecklenburg-Vorpommern: Tätigkeitsbericht für 2021
- LfD Niedersachsen: Tätigkeitsbericht für 2021
- LfDI BW: Wettbewerb für Kommunen
- Liechtenstein: Tätigkeitsbericht für 2021
- Norwegen: Bußgeld für Weiterleitung einer E-Mail einer abwesenden Beschäftigten
- Österreich: Datenschutz-Folgenabschätzung
- Österreich: privacy4kids
- CNIL: Aussagen zum Verantwortlichen
- Spanien: Bußgeld gegen Google u.a. wegen Drittstaatentransfer
- Italien: Bußgeld für Einbindung eines weiteren Auftragsverarbeiter
- Belgien: „Kleine Menge“ der Anzahl betroffener Personen
- Singapur: Tool für Anonymisierung
- Rechtsprechung
- OLG Köln: Motivation für Auskunftsanspruch nicht relevant
- AG Tiergarten: Formanforderungen an Einspruch gegen einen Bußgeldbescheid
- LG München: Verletzung des Unternehmenspersönlichkeitsrechts
- OLG Düsseldorf: Beispiel für Beweisverwertungsverbot
- Wahl eines BVerfG-Richters
- EuGH: Fragen zum Beschäftigten-Datenschutz
- Gesetzgebung
- EU: Was ist Sache beim Drittstaatentransfer, speziell beim TADPF?
- EU: Daten-Governance-Rechtsakt veröffentlicht
- Datenschutz-Folgenabschätzung zu Hinweisgeberschutzgesetz
- Änderungen im UWG
- Gesetz zum Beschäftigtendatenschutz?
- China: Grenzübereschreitende Zertifizierung
- Österreich: Regulierung von DeepFake?
- Vereinigtes Königreich: Petition gegen Datenschutzrechtsreform
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Neue Formen des Werbetrackings: TrustPid
- Einsatz einer Software von Palantir bei der Polizei
- Studie zu Datenschutzbeauftragten in Frankreich
- Übersicht über die Aufsichten
- Altersverifizierung über Onlinekontenzugriff
- Auswirkung von Cloud-Zertifizierungen auf Schutzmaßnahmen
- Übersicht zu Schadenersatzforderungen
- Podcast zu Schadenseratzansprüchen
- EU-Kommission: Studie zum Mechanismus von Zertifizierungen
- EU-Kommission: Studie über Dark Patterns und Manipulation
- Forschungsvorhaben zu Überwachung am Arbeitsplatz
- Abschlusskonferenz zur Inversiven Transparenz
- Generator für Datenschutzanfragen
- Veranstaltungen
- Der 50. Daten-Dienstag im Museum für Kommunikation, Nürnberg
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos Onlinebanking
- Lage der IT-Sicherheit
- Ransomware … mal anders …
- Video-Vortrag: Was ist eigentlich eine Kryptowährung?
- GhostTouch – Touchscreens bedienen ohne Touch?
- 380 Jahre alte Attacke auf schwache RSA-Schlüssel
- Android vs. iOS
- AirPods: Firmware-Update manuell anstoßen
- GDPR for Dummies
- Zehn Beispiele, wie KI in unseren Alltag vordringt
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 BfDI: Anhörung zu Facebook-Fanpages
Der BfDI hat nun an das Bundespresseamt, das weiterhin trotz seines Hinweises eine Facebook-Fanpage betreibt, ein Anhörungsschreiben versandt. Dies ist ein weiterer Schritt zur Vorbereitung von denkbaren Sanktionsmaßnahmen, je nachdem wie fundiert die Rückmeldung sein wird. Mit der Auswahl der Behörde ist davon auszugehen, dass diese Maßnahme, sollte sie dann zu einer Sanktion führen, auch Bereiche erreicht, die bislang die Aussage des EuGH zur Gestaltung der gemeinsamen Verantwortlichkeiten nur für eine Rechtsmeinung hielten. Nicht jede verantwortliche Stelle hat, wie der bundesdeutsche Gesetzgeber, die Möglichkeit Maßnahmen gegen ihn über § 20 Abs. 7 BDSG aus dem sofortigen Vollzug zu nehmen. Eine Vorbildrolle des Staates hat bei der Digitalisierung aber wahrscheinlich sowieso keiner mehr erwartet.
1.2 LfD Bayern: Rund um die DSFA
Wann ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen? An was ist dabei bei der Durchführung zu denken? Wie geht ein Verantwortlicher mit Risiken um und analysiert diese? Wann sollte eine DSFA durchgeführt werden? Ergänzt wird dies um Beispiele wie das Videokonferenzsystem, IT-Personalverwaltungssysteme oder der Bildschirmarbeitsplatz. Einige der Aussagen fand ich mindestens diskussionswürdig, aber das macht dieses Rechtsgebiet ja so reizvoll.
1.3 BayLDA: Hilfestellungen für Absicherung von E-Mail-Accounts
Das BayLDA veröffentliche Informationen und eine Prüfcheckliste zur Absicherung von E-Mail-Accounts gegen Angriffe von Cyberkriminellen. Die Tipps und Infos sind auch außerhalb Bayern anwendbar.
1.4 Mecklenburg-Vorpommern: Tätigkeitsbericht für 2021
Auch Mecklenburg-Vorpommern hat nun seinen Tätigkeitsbericht für das Jahr 2021 veröffentlicht. Auch in diesem touristisch empfehlenswerten Land gibt es Cyberattacken und so spart der Bericht nicht an Empfehlungen zur Sicherung der IT-Systeme (Seite 35). Zu M365 gibt es die Aussage (Seite 25), dass hier weiterhin die Unternehmen und öffentliche Stellen in der Verantwortung steheneinen rechtskonformen Einsatz sicherzustellen. In diesem Zusammenhang wird auch auf die Möglichkeit der Nutzung von OpenSource-Produkten verwiesen. Aufgrund eines Vorfalls (Herausgabe von mehr Patientendaten durch ein Krankenhaus für psychische Erkrankungen an die Polizei als angefragt) konkretisiert die Aufsichtsbehörde hier ihre Hinweise zum Umgang mit personenbezogenen Daten insbesondere durch Berufsgeheimnisträger (S. 31). In jedem Fall sollte bei einem Herausgabeverlangen der Polizei sorgfältig geprüft werden, welche personenbezogenen Daten herausgegeben werden (dürfen). Berufsgeheimnisträger sollten Handlungsempfehlungen für ihre Beschäftigten erarbeiten und diese wiederholt über Zeugnisverweigerungsrechte und Beschlagnahmeverbote unterrichten. Darüber hinaus wird empfohlen sich immer von der jeweiligen Behörde die Rechtsgrundlage für das jeweilige Begehren nennen zu lassen und ausdrücklich danach zu fragen, ob eine gesetzliche Pflicht zur Duldung oder Herausgabe besteht. Auch sollte darauf geachtet werden, dass über die jeweilige Maßnahme durch die Behörde ein Protokoll geführt wird und dort beispielsweise Widersprüche des Berufsgeheimnisträgers gegen die Sicherstellung von Patientenakten dokumentiert werden.
Besonders hervorzuheben ist in Mecklenburg-Vorpommern die Sensibilisierungsarbeit insbesondere gegenüber Kindern und Jugendlichen, die auch in dem Tätigkeitsbericht beschrieben wird.
1.5 LfD Niedersachsen: Tätigkeitsbericht für 2021
Im veröffentlichten Tätigkeitsbericht der LfD Niedersachsens finden sich einige Meldungen, die ich so nicht erwartet hätte. Und damit meine ich nicht nur die Ausführungen zum Serverstandort unter einem Wickeltisch in einer Gästetoilette (Seite 89), sondern die Informationen zum Kohärenzverfahren mit Irland und zu den Sanktion gegen WhatsApp, die auch damit begründet wurden, dass es sich bei gekürzten Hashwerten von Telefonnummern der Nicht-Nutzer auch (noch) um personenbezogene Daten handelt, die dann nur nach Maßgabe der DS-GVO verarbeitet werden dürfen (Seite 20) und dass dieses Verfahren eben keine Anonymisierung gewährleistet. Fast schon rituelle Ausmaße nehmen die Beschwörungen der Aufsichtsbehörden zum Einsatz von M365 an, auch die LfD Niedersachsen sieht dafür keine rechtkonformen Einsatzmöglichkeit und begründet dies mit den vertraglichen Formulierungen, die nicht den Anforderungen des Art. 28 Abs. 3 DS-GVO genügen, und mit der unzureichenden Transparenz und Abgrenzung bei der Verwendung von Daten zu eigenen Zwecken durch Microsoft. Sie kündigt auch an, dass sie sich mit den Konsequenzen des „Schrems II“-Urteils des Europäischen Gerichtshofs und der Frage der Übermittlung von Telemetriedaten bei der Beurteilung der Einsatzfähigkeit von Microsoft-Produkten befassen wird.
Hoffnungsfroh stimmt die Ankündigung einer baldigen Zertifizierungsmöglichkeit (Seite 44). Der Tätigkeitsbericht enthält auch Hinweise zur Vorbereitung einer Datenschutzprüfung durch die Aufsichtsbehörde. Dieser Check empfiehlt sich sicher auch allen Verantwortlichen, sollte mal unangemeldet eine Aufsichtsbehörde Anlass sehen Rückfragen zu stellen (Seite 144).
1.6 LfDI BW: Wettbewerb für Kommunen
Kommunale Stellen in Baden-Württemberg können bis 17. Juli 2022 ihre Vorschläge einreichen, um am Kommunalen Datenschutzwettbewerb teilzunehmen. Dies können beispielsweise Umsetzungen der Informationspflichten sein, Maßnahmen zur Vermittlung der datenschutzrechtlichen Anforderungen an Beschäftigte oder auch eine innovative, datenschonende Technik sein. Die Vorschläge können hier eingereicht werden.
1.7 Liechtenstein: Tätigkeitsbericht für 2021
Liechtenstein gilt über den EWR als Land mit gleichwertigem Datenschutzniveau, in dem auch die DS-GVO zur Anwendung kommt. So finden sich auch im Tätigkeitbericht etliche Fragestellungen und die Interpretation der Aufsicht wieder, die auch außerhalb Liechtensteins herangezogen werden können.
1.8 Norwegen: Bußgeld für Weiterleitung einer E-Mail einer abwesenden Beschäftigten
In Norwegen bekam ein Unternehmen ein Bußgeld in Höhe von ca. 10.000 Euro, weil es eine Weiterleitung aller eingehenden E-Mails veranlasste, als eine Beschäftigte im Rahmen der Beendigung des Arbeitsverhältnisses während der Kündigungsfrist schon nicht mehr im Unternehmen war. Details dazu finden Sie hier.
1.9 Österreich: Datenschutz-Folgenabschätzung
Aufsichtsbehörden müssen bzw. können gemäß Art. 35 Abs. 4 und Abs. 5 DS-GVO Listen veröffentlichen, nach denen eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden sollte bzw. wann nicht. In Deutschland konnte sich die Datenschutzkonferenz nur auf eine Liste verständigen, wann eine DSFA durchgeführt werden sollte. Auch auf europäischer Ebene ließ man diese Möglichkeit der Entbürokratisierung aus und veröffentlichte nur eine Liste, wann eine DSFA durchzuführen sei. In Österreich sind die Entscheidungen zu den Listen nach Art. 35 Abs. 4 und Abs. 5 DS-GVO der Datenschutzbehörde, die als Verordnungen (DSFA-AV und DSFA-V) gemäß § 21 Abs. 2 DSG erfolgen, veröffentlicht. Dabei findet sich auch eine Liste, bei welchen Verarbeitungen keine DSFA umzusetzen sei. Leider hat sich der Europäische Datenschutzausschuss nur mit der Liste derjenigen Verarbeitungen befasst, bei denen nach Ansicht der österreichischen Datenschutzbehörde eine DSFA durchzuführen ist. Trotzdem kann m.E.n. die Liste der DSB, wann eine DSFA nicht erfolgen bräuchte, inklusive der Erläuterungen dazu, auch als Argumentationshilfe herangezogen werden, ob eine DSFA erfolgen soll.
1.10 Österreich: privacy4kids
Die österreichische Datenschutzbehörde hat zusammen mit der Universität Wien Sensibilisierungsvideos und Materialen für Kinder unter dem Projektnamen privacy4kids erstellt und veröffentlicht. Sie finden sie hier (siehe auch 7.5).
1.11 CNIL: Aussagen zum Verantwortlichen
Wer ist nach der DS-GVO für die Verarbeitung verantwortlich? Welche Fallkonstellationen gibt es da? Die französische Datenschutzaufsicht CNIL hat sich diesen Fragen gewidmet. Dabei betrachtet sie auch Konstellationen zum Subunternehmer oder zu den „gemeinsamen Verantwortlichen“.
1.12 Spanien: Bußgeld gegen Google u.a. wegen Drittstaatentransfer
Von wegen, es passiert ja nie was: In Spanien verhängte die Datenschutzaufsicht gegen Google aufgrund unrechtmäßigen Datentransfer in einen Drittstaat und der unzureichenden Umsetzung der Löschpflicht ein Bußgeld in Höhe von 10.000.000 Euro.
1.13 Italien: Bußgeld für Einbindung eines weiteren Auftragsverarbeiter
Ein Krankenhauskonzern beauftragte einen Dienstleister mit dem Hosten einer Webanwendung, um die Whistleblowing-Berichte der Mitarbeiter zu sammeln und zu verwalten. Dieser setzte dazu einen ein Host-Service-Provider als Unterauftragsverarbeiter ein, welcher rechtlich als weiterer Auftragsverarbeiter zu bewerten ist. Dies erfolgte weder mit der Zustimmung des Krankenhauskonzerns noch wurde ein entsprechender Vertrag mit dem Unterauftragnehmer geschlossen. Die Argumentation, die Daten seien verschlüsselt und den Schlüssel hätte nur der Krankenhauskonzern, überzeugte die italienische Aufsicht nicht. Sie begründete dies mit ErwGr. 83 der DS-GVO (Verschlüsselung als Schutzmaßnahme), aber auch damit, dass ein Hosting-Dienstleister, auch wenn er auf einer Plattform keinen direkten Zugriff auf personenbezogene Daten habe, diese Daten in seiner Infrastruktur verarbeite. Es sei daher erforderlich die Integrität und Verfügbarkeit der Daten durch geeignete technische und organisatorische Maßnahmen sicherzustellen und die Aufsicht verweist diesbezüglich auf die Leitlinien 7/2020 zu den Begriffen des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters in der DSGVO (EDSA vom 7. Juli 2021, dort unter RN 40). Das Bußgeld betrug 40.000 Euro. Mehr dazu hier.
1.14 Belgien: „Kleine Menge“ der Anzahl betroffener Personen
Eine gängige Datenschutzverletzung ist die Verwendung größerer Mengen Empfängeradressen nicht im BCC, wenn den Empfängern diese personenbezogenen Daten (sprich Mailadressen) oder der Kontext der Kommunikation nicht bereits vorher bekannt waren. Doch ab wann liegt eine so große Anzahl vor, dass dies eine Meldepflicht bei der zuständigen Datenschutzaufsicht auslösen würde? Die belgische Aufsicht hält die Anzahl von 16 Personen noch nicht relevant für eine Meldung. ABER: Beachten Sie bitte, in einem anderen Kontext (z.B. sensible Gesundheitsdaten etc.) kann sich auch eine andere Bewertung ergeben.
1.15 Singapur: Tool für Anonymisierung
Seitens der Datenschutzaufsichtsbehörde in Singapur wurde ein Tool für eine Anonymisierung einfacher Datensätze veröffentlicht. Eine Einschätzung europäischer Datenschutzaufsichtsbehörden dazu ist mir bislang nicht bekannt.
Franks Anmerkung: Die Aufsichtsbehörde aus Singapur kommuniziert über Telegram? Wow…
2 Rechtsprechung
2.1 OLG Köln: Motivation für Auskunftsanspruch nicht relevant
Inwieweit spielen die Motive eines Auskunftsbegehrens eine Rolle, wenn ein Verantwortlicher den Eindruck hat, es solle nur Aufwand produziert werden oder die betroffene Person wolle nur möglichst viel Informationen, und ein datenschutzrechtlicher Aufklärungswille sei gar nicht das eigentliche Begehren? In dem Fall eines Anspruchs nach Art. 15 DS-GVO gegen eine Versicherung um Herausgabe der Kopien der personenbezogenen Daten der betroffenen Person bei Streit um eine wirksame Beitragserhöhung formulierte das OLG Köln, es genüge nicht nur Kopien der bezogene Daten, die Gegenstand der Verarbeitung seien, zur Verfügung stellen zu müssen, nicht aber Kopien der betreffenden Akten oder Unterlagen. Es erschließe sich auf der Grundlage ihres Vortrags schon nicht, wie eine Zurverfügungstellung von Kopien der hier streitgegenständlichen Daten ihrerseits – wenn nicht durch eine Kopie der Unterlagen – erfolgen soll. Die bloße Mitteilung jedenfalls, dass es ein Anpassungsschreiben mit Beiblatt gab, ist zur Erfüllung des Auskunftsanspruchs ersichtlich nicht geeignet (RN 62). Der datenschutzrechtliche Anspruch werde auch nicht dadurch eingeschränkt, ob Schreiben der betroffenen Person bereits bekannt seien (RN 61). Es mag unterstellt werden, dass es dem Kläger im vorliegenden Fall im Ergebnis nicht, jedenfalls nicht primär, um den Schutz seiner Daten gehe, sondern um die Vorbereitung vermögensrechtlicher Ansprüche. Der Geltendmachung eines auf Art. 15 DS-GVO gestützten Auskunftsanspruch stünde dies jedoch nicht entgegen (RN 65). Die wesentlichen Fragen zur Auslegung des Art. 15 DS-GVO liegen ja mittlerweile auch dem EuGH vor, so dass zu hoffen ist, dass es hier bald Rechtssicherheit gibt.
2.2 AG Tiergarten: Formanforderungen an Einspruch gegen einen Bußgeldbescheid
Laut einem Beschluss des AG Tiergarten könne ein Einspruch gegen einen Bußgeldbescheid ausschließlich als signiertes elektronisches Dokument über das BeA – Besondere Anwaltspostfach – und das BeBPo – das besondere elektronische Behördenpostfach – übermittelt werden. Eine Übermittlung in Papierform oder als Telefax sei unzulässig.
Franks Anmerkung: Ernsthaft? Ich brauche jetzt also für jeden Einspruch gegen einen Bußgeldbescheid einen Rechtsanwalt? Ja, nee, is klar…
2.3 LG München: Verletzung des Unternehmenspersönlichkeitsrechts
Ohne zu sehr in markenrechtliche Fragestellungen einzutauchen: Das LG München sah bei einer unabgestimmten Aufnahme einer Unternehmensbezeichnung in eine Kundenreferenzliste, dass dadurch das Persönlichkeitsrecht dieses Unternehmens verletzt sein, wenn der damit Werbende für eine Zusammenarbeit mit dem Unternehmen beweisfällig bleibt. Eine bloße Auflistung einer bekannten Marke in einer Kundenreferenzliste begründe aber dadurch allein einen markenrechtlichen Anspruch regelmäßig nicht. Bei dem Wort „Persönlichkeitsrecht“ zuckt man im Datenschutz halt erst mal.
2.4 OLG Düsseldorf: Beispiel für Beweisverwertungsverbot
Wird bei einer längerfristigen Observation (§ 163f StPO), die nur zur Aufklärung einer Straftat von erheblicher Bedeutung angeordnet wurde, festgestellt, dass die beobachtete Person ein Vergehen – Führen eines Kraftfahrzeugs ohne Fahrerlaubnis (§ 21 Abs. 1 StVG) – begeht, darf diese Erkenntnis nach dem OLG Düsseldorf nicht in einem Strafverfahren verwendet werden, denn wegen des erkannten Vergehens (keiner Straftat von erheblicher Bedeutung) hätte eine längerfristige Observation nicht angeordnet werden dürfen (Gedanke des „hypothetischen Ersatzeingriffs“).
2.5 Wahl eines BVerfG-Richters
Mit der Wahl von Heinrich Amadeus Wolff durch den Deutschen Bundestag erhält der Erste Senat einen Experten hinsichtlich Datenschutzrecht, der sich bei Zweifeln mit dem von ihm mit herausgegebenen Kommentar auf dem aktuellen Stand halten kann.
2.6 EuGH: Fragen zum Beschäftigten-Datenschutz
In dem Vorlagebeschluss des VG Wiesbaden muss sich der EuGH mit Fragen befassen, die hessisches Landesrecht betreffen. Da die Regelung in § 23 Abs. 1 HDSIG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) aber gleichlautend mit § 26 Abs. 1 BDSG gestaltet ist, können daraus bestimmt wichtige Ableitungen für die Interpretation des § 26 BDSG und für die Gestaltung eines Beschäftigtendatenschutzgesetzes folgen. Inhaltlich geht es darum, ob bei Lehrern die Übertragung des Livestreamunterrichts durch die Norm in § 23 Abs. 1 HDSIG gedeckt sein kann und inwieweit dabei Mitbestimmungsrechte zu berücksichtigen sind. Der EuGH verhandelt dazu am 30.06.2022.
3 Gesetzgebung
3.1 EU: Was ist Sache beim Drittstaatentransfer, speziell beim TADPF?
Der Rat stellt für seine Sitzung am 9./10. Juni 2022 zwei Fragen an die EU-Kommission. Zuvor wird die Bedeutung und etwas die Historie des Drittstaatentransfers dargestellt. Letztendlich will der Rat dann wissen, wie der Stand der Verhandlungen zum Trans-Atlantic Data Privacy Framework sei und ob die Auffassung geteilt würde, dass (bezogen auf die Datenübermittlungen) die verschiedenen institutionellen Akteure, insbesondere die Kommission und der Rat, eine kohärente und ehrgeizige europäische Politik einheitlich umsetzen müssen. Auch der Kongress in den USA lässt sich informieren und dabei wird deutlich, dass in den USA dabei auch wirtschaftliche Aspekte eine Rolle spielen.
3.2 EU: Daten-Governance-Rechtsakt veröffentlicht
Am 3. Juni 2022 wurde der Text der Verordnung über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt) im Europäischen Amtsblatt als Verordnung (EU) 2022/868 veröffentlicht. Gemäß ihrem Art. 23 tritt sie am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft und gilt ab dem 24. September 2023.
3.3 Datenschutz-Folgenabschätzung zu Hinweisgeberschutzgesetz
In Deutschland ist man in der Umsetzung einer EU-Richtlinie wieder mal hinten dran und führt gerade eine Konsultation zu dem Entwurf durch. Die DSK forderte in ihrer Orientierungshilfe bei der Einführung eines Hinweisgeberschutzgesetzes die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Dass sowas geht, wurde bereits selbst in Deutschland unter Umsetzung des Art. 35 Abs. 10 DS-GVO im § 307 SGB V mit dessen Anlage erfolgreich praktiziert. Auch in Österreich kennt man diese Vorschrift und auch dort gibt es den Entwurf einer DSFA als Anlage zum Gesetz.
3.4 Änderungen im UWG
Na, mitbekommen? Zum 28. Mai 2022 wurden einige Änderungen im UWG wirksam. Nichts Dramatisches, zumindest, was den § 7 UWG betrifft, aber richtig zitiert werden sollte er künftig schon. Eine nette Darstellung der Änderungen findet sich hier.
Bislang vertraten die Aufsichtsbehörden ja die Ansicht, dass bei Direktmarketing eine Wahrung berechtigter Interessen ausgeschlossen sei, wenn bei der Umsetzung gegen die wettbewerbsrechtlichen Vorgaben aus § 7 UWG („wie wird geworben?“) verstoßen wird. Ob sich dieser Grundsatz nun auch auf die Vorgaben aus dem neuen § 5b Abs. 4 in Verbindung mit § 5a Abs. 1 UWG ausdehnen lässt? Danach handelt unlauter (§ 5 UWG), wer Verbrauchern wesentliche Informationen nicht mitteilt, und wesentlich sind auch solche Informationen, die durch europarechtliche Verordnungen vorgegeben sind, das träfe auf Artt. 13, 14 DS-GVO zu. Damit würden die Informationspflichten über § 5a und § 5b UWG als Zulässigkeitsvoraussetzung einer Interessensabwägung aufgewertet. Ob dies allerdings haltbar sein sollte, wird sich zeigen, bislang wurden die Informationspflichten der Artt. 13, 14 DS-GVO auch nicht als relevant für eine Einwilligung ansehen.
3.5 Gesetz zum Beschäftigtendatenschutz?
Es steht im Koalitionsvertrag, es gab unter dem letzten Bundesminister für Arbeit und Soziales einen Beirat zu diesem Thema, der jetzige zuständige Bundesminister ist identisch mit dem letzten: Es spricht alles dafür, dass er einen entsprechenden Entwurf vorlegen wird. Alles andere sind Mutmaßungen, die hier aber schön zusammengefasst sind.
3.6 China: Grenzübereschreitende Zertifizierun
Ich weiß, der Vergleich unseres Rechtssystems mit dem in China hat mehrere Einschränkungen und Vorbehalte. Aber jede(r), die/der sich mit Datenschutzrecht und Drittstaatentransfer befasst, wird etwas neidisch auf die Veröffentlichung einer Zertifizierungs-Guideline zum internationalen Datentransfer blicken.
3.7 Österreich: Regulierung von DeepFake?
DeepFakes können mehr als nur unterhalten, sie sind geeignet politische Strukturen durch Falschmeldungen zu destabilisieren (siehe auch Ziffer 4.3). Daher überlegt Österreich laut diesem Bericht hier regulatorische Maßnahmen einzuleiten.
3.8 Vereinigtes Königreich: Petition gegen Datenschutzrechtsreform
Erst im Herbst 2021 hatte die Regierung des Vereinigten Königreichs angekündigt nach dem Austritt des Königreichs aus der Europäischen Union nun das Datenschutzrecht reformieren zu wollen. Das Begehren der Regierung, einen “ausgewogenen Ausgleich” zwischen dem Schutz der Rechte der Betroffenen und der Förderung von Innovationen und wirtschaftlichen Wachstum herbeizuführen (Stellungnahme der Regierung des Vereinigten Königreichs vom 26.08.21), ist wohl zumindest in Teilen als geplante Abkehr vom hohen Schutzniveau der DS-GVO zu deuten. Um die Rechte des Einzelnen und dessen Daten vor Missbrauch zu schützen, fordert eine Petition die Regierung des Vereinigten Königreichs nun dazu auf die geplante Reform des Datenschutzrechts zu verhindern.
4 Künstliche Intelligenz und Ethik
4.1 Künstliche Intelligenz und Datenschutz: Save-the-Date
Im Juli veranstaltet der LfDI BW eine Veranstaltungsreihe, in der vom 7. bis 14. Juli 2022 über die Aspekte des Einsatzes einer KI in verschiedenen Bereichen und deren Auswirkung auf die informationelle Selbstbestimmung diskutiert wird. Näheres finden Sie hier.
4.2 Künstliche Intelligenz in der Justiz
Die Ergebnisse der 74. Jahrestagung der Präsidentinnen und Präsidenten der Oberlandesgerichte, des Kammergerichts, des Bayerischen Obersten Landesgerichts und des Bundesgerichtshofs – Beschlüsse zu den Schwerpunktthemen Einsatz künstlicher Intelligenz in der Justiz und Umgang mit Massenverfahren sind nun veröffentlicht. Einig war man sich, dass auch künftig ein Entscheidungsroboter nicht die wertenden Entscheidungen eines Richters ersetzen könne. Bereits die Nutzung künstlich geschaffener Entscheidungsvorschläge beinhalte ein hohes Risiko für Diskriminierung. Eine hohe Transparenz bei der Programmierung derartiger Software sei deshalb erforderlich. Kritisch wurde auch eine Standardisierung in Bereichen, die einer subjektiv empathischen Abwägung bedürfen, wie der Strafzumessung, der Rückfallprognose oder der Beweiswürdigung, gesehen. Die Gefahr einer einseitigen Programmierung sei hier besonders hoch.
4.3 Identitätsprüfung durch Deepfakes
Know your customer – Kenne deinen Kunden. Viele kennen inzwischen das Verfahren zur Videoidentifikation, welches z.B. von Banken zur Identifikation von Neukunden eingesetzt wird. Dabei muss für die Registrierung zunächst ein Ausweisdokument in die Kamera des Smartphones oder des Computers gehalten werden. Anschließend muss man selbst vor die Kamera treten und bestimmte vorgegebene Bewegungen machen. Es ist oftmals verlockender sich einfach zuhause am eigenen Computer oder gar direkt am eigenen Smartphone identifizieren zu lassen, als für eine Identifikation bei der Deutschen Post ewig in der Schlange zu stehen. Aber ist das Video-Ident-Verfahren auch sicher? Stetig besser werdende Deepfakes stellen ein zunehmendes Sicherheitsproblem für das Video-Ident-Verfahren dar. Deepfakes sind von einer Künstlichen Intelligenz erstellte manipulierte mediale Inhalte wie Videos, Stimmen oder Texte. In China nutzen Betrüger diese Technologie und erzeugten mithilfe echter Ausweisdokumente künstliche Gesichter. Die in der Realität nichtexistierenden Personen gründeten Firmen und konnten so die chinesische Steuerbehörde um 500 Mio. Yuan (ca. 70,5 Mio. Euro) erleichtern. Auch ein Test von mehreren Video-Ident-Verfahren durch den Anbieter Sensity, der sich auf KI-gestützte Verifikationslösungen spezialisiert hat, zeigt: Alle Systeme konnten durch Deepfakes getäuscht werden! So warnt auch das BSI vor dem Einsatz von Deepfakes bei Social Engineering, Desinformationskampagnen (so z.B. die Kapitulationserklärung des ukrainischen Präsidenten) und anderen möglichen Bedrohungsszenarien durch Deepfakes und klärt auf, was alles möglich ist und was man tun kann, um sich zu schützen! Siehe zu DeepFakes auch Ziffer 3.7.
5 Veröffentlichungen
5.1 Neue Formen des Werbetrackings: TrustPid
Da scheint eine Idee den Werbemarkt aufzurollen: Telekom und Vodafone versuchen mittels einer Zuordnung beim Internetverkehr die Nutzungsdaten der Kunden für Werbekunden zugänglich zu machen und nennen dies TrustPid. Der Name allein scheint aber nicht zu reichen, um Datenschützer zu beruhigen. Eine Anfrage bei FragdenStaat ist noch ohne Antwort, inwieweit der BfDI dieses Verfahren beraten habe. Folgt man ihm auf Mastodon, weiß man schon etwas mehr.
Franks Nachtrag: Nach dem Motto „Wehret den Anfängen“ können Sie hier schauen, ob Sie schon betroffen sind und dann wohl auch widerrufen.
Und außerdem: Ich bin empört! Gegen die Überwachung durch den Provider kann ich mich als Nutzer*in nicht wehren, da kann ich nur dem Provider vertrauen. Und ob das Vertrauen gerechtfertigt ist? Mit dieser Aktion geht auf jeden Fall schon mal ein großer Teil des ggf. vorhandenen Vertrauensvorschusses verloren.
5.2 Einsatz einer Software von Palantir bei der Polizei
Berichten zufolge wird in mehreren Bundesländern überlegt die Software VeRA (Verfahrensübergreifende Recherche und Analyse) einzuführen (auch wir berichteten), mit der Analysen über mehrere Datenbanken erfolgen können. Datenschutzaufsichtsbehörden sehen das mehr als kritisch. Zumindest scheinen die Hersteller doch noch eine Art Humor zu haben: Die zugrundeliegende Software hat den Namen „Gotham“.
Franks Nachtrag: Darf ich noch mal an den diesjährigen BigBrotherAward-Preisträger in der Kategorie Behörden und Verwaltung erinnern?
5.3 Studie zu Datenschutzbeauftragten in Frankreich
Das französische Arbeitsministerium erstellte unter Mitwirkung der CEDPO eine Studie zum Datenschutzbeauftragten. Nur zwei Erkenntnisse daraus: 29% der Befragten gaben an in Paris und Umgebung tätig zu sein, 72% sind als interne DSBs tätig.
5.4 Übersicht über die Aufsichten
Welche Aufsichten gibt es und für was sind sie zuständig? Den Überblick verliert man in Deutschland leicht, insbesondere wenn es um digitale Themen geht. Eine Klärung versucht eine Publikation der Stiftung Neue Verantwortung, die die Zuständigkeiten auflistet. Erhellend finde ich auch die Entwicklung der Budgets der Bundeseinrichtungen (Abbildung 5) von 2016 bis 2021. BNetzA und BSI hatten hier deutliche Zuwächse, beim BfDI hält es sich in Grenzen (übrigens sind diese Abbildung nett animiert!).
5.5 Altersverifizierung über Onlinekontenzugriff
Wie überprüfe ich online das Alter eines Nutzers? Und dabei geht es ja nicht nur um Pornos und Gewaltdarstellungen, allein die Bestellung eines besonders guten Whiskeys oder von Rauchwaren zwingt die Anbieter hier die Abgabe an Minderjährige auszuschließen. Warum dann nicht den Zugriff auf einen Dienst nutzen, der bei der Errichtung eine Alters- und Personenverifikation durchführte, nämlich den Zugang zu Online-Banking-Konten. Damit können Name, Anschrift und Geburtsdatum durch einen einmaligen Login des Nutzers in sein Online-Banking und einen Abgleich mit dem Datenbestand bei der Auskunftei online geprüft werden. Die Kommission für Jugendmedienschutz hat diese Überprüfung nun freigegeben. Kritiker sehen die Nutzung von Onlinezugangsdaten für andere Zwecke als die angegebenen – Na, was wohl? – kritisch.
Franks Anmerkung: Zurecht! Betrieben wird das System von der Schufa-Tochter finAPI. Ja dann… Außerdem: Niemals gebe ich Bankdaten woanders ein als auf der Webseite der Bank. So war zumindest bisher immer (zurecht) das Mantra. Warum das jetzt so aufweichen?
5.6 Auswirkung von Cloud-Zertifizierungen auf Schutzmaßnahmen
Wie wirken sich Cloud-Zertifizierungen auf die tatsächlichen Schutzmaßnahmen bezogen auf datenschutzrechtliche Aspekte aus? Das fragen sich sicherlich einige und so scheint der Titel dieser Studie der University of Illinois gut gewählt. Und der Vollständigkeit halber, im Original wird natürlich nicht von Data Protection, sondern von Privacy Protection gesprochen („An Analysis of Cloud Certifications’ Performance on Privacy Protections“), aber das auseinander zu dividieren führte nun zu weit. Betrachtet wurden ISO/IEC 27001, SOC2, C5 und FedRAMP. Soll ich verraten, was rauskam? Besser nicht, das erhält die Spannung.
5.7 Übersicht zu Schadenersatzforderungen
Was sind die Anforderungen, was die Knackpunkte? Das erfahren Sie hier in diesem öffentlich zugänglichen Beitrag.
5.8 Podcast zu Schadenseratzansprüchen
Und wer gerne hört statt liest, bekommt hier in diesem Podcast die letzten Entwicklungen zu Bußgeld und Schadenersatz aufgrund der Nichteinhaltung von Datenschutzanforderungen erläutert.
5.9 EU-Kommission: Studie zum Mechanismus von Zertifizierungen
Okay, die Studie ist schon etwas älter, ich habe sie aber erst diese Woche wahrgenommen. Und da es immer noch keine Umsetzung der Zertifizierungsmöglichkeiten nach Artt. 42, 43 DS-GVO gibt, können sich interessierte Kreise in der Wartezeit mit den 253 Seiten der Studie befassen.
5.10 EU-Kommission: Studie über Dark Patterns und Manipulation
Noch eine Studie im Auftrag der Europäischen Kommission, nur aktueller: “Behavioural study on unfair commercial practices in the digital environment: dark patterns and manipulative personalization”. Das Ergebnis? 97% der populärsten Webseite nutzen demnach „Dark Patterns“. Die Studie zeigt auch mit vielen Praxisbeispielen, wie mit Reduzierungen, aber auch Farbauswahl und Gestaltungen versucht wird, Einfluss auf Entscheidungen der Nutzer zu nehmen. Einen Bericht darüber finden Sie hier.
5.11 Forschungsvorhaben zu Überwachung am Arbeitsplatz
Und noch ein Forschungsvorhaben, das aber erst beginnt und sich mit den Überwachungsmöglichkeiten der Beschäftigten befassen wird. In dem Forschungsprojekt “Zwischen Autonomie und Überwachung (ZAUber)” wird der Umgang von Organisationen und Nutzer*innen mit sogenannten People-Analytics-Anwendungen erforscht. Diese ermöglichen die automatisierte Auswertung von Personaldaten, kombinieren diese teils mit Geschäfts- und/oder externen Daten und versprechen so Entscheidungen über Beschäftigte zu optimieren, etwa durch Aussagen über deren Leistung und Potenzial. Die Laufzeit ist bis Ende September 2024 angelegt.
5.12 Abschlusskonferenz zur Inversiven Transparenz
Wer Zeit (ca. 2,5 Stunden) und Lust hat, sollte sich die Erkenntnisse aus der Abschlusskonferenz zur Inversiven Transparenz in dem Abschlussvideo ansehen. Welche Möglichkeiten gibt es noch, rechtskonform Daten von Beschäftigten zu nutzen.
5.13 Generator für Datenschutzanfragen
Es gibt im Datenschutz fast nichts Nervigeres, als unmotivierte Geltendmachung von Betroffenenrechten – im Worstcase auch noch von Personen, die noch nie etwas mit dem Verantwortlichen zu tun hatten. Unterstützt werden solche Anfragen oft durch automatisierte Tools, bei denen bereits schon Adressaten von Verantwortlichen hinterlegt sind. Um keine Zweifel aufkommen zulassen: Die Transparenzregelunge der DS-GVO sind richtig und wichtig, um betroffenen Personen eine eigene Kontrollmöglichkeit einzuräumen. Sie sollten aber nicht dazu dienen mal ins Blaue hinein Aufwand zu generieren.
Und weil wir gerade dabei sind: Überlegen Sie bei solchen Tools besser dreimal, welche Angaben Sie zur Identifizierung dort eingeben (wie z.B. vollständige Adressdaten, Kundennummern etc.). Im Zweifel erstellen Sie besser selbst ein Dokument, in welchem Sie dem Adressaten Ihres Ersuchens die Möglichkeit geben Sie als berechtigte betroffene Person zu identifizieren, ohne dass diese vertraulichen Daten in einer Datenbank eines Dritten landen.
5.14 Veranstaltungen
5.14.1 Der 50. Daten-Dienstag im Museum für Kommunikation, Nürnberg
28.06.2022, ab 19:00 Uhr: Es wird der 50. Daten-Dienstag sein, den das Museum zusammen mit dem BayLDA und dem BvD veranstaltet. Dementsprechend viel Mühe hat man sich mit der Auswahl der Themen und Gäste gegeben. Anmeldung erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 Abofalle Cookie-Banner
Es hat etwas von diesem unfreiwilligen Humor, die das Berufsleben gelegentlich selbst im Datenschutz bereichern. In einem Beitrag in einer Zeitung des Springer-Konzern wird schön beschrieben, wie durch Cookie-Banner „Abofallen“ provoziert werden. Wer will da schon widersprechen?
6.2 Berufseinstieg Datenschutz-Koordinatorin
Wenn es in der Zeitung steht, wird schon was dran sein: Das Positive an dem Beitrag über den Berufseinstieg im Datenschutz ist, dass die Gestaltungsmöglichkeiten durch eine frühzeitige Einbeziehung wirklich sehr motivierend sein können. Was noch deutlicher hätte sein können (bei dem dargestellten Arbeitgeber aber durch weitere Spezialisten erfolgt): Durch technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten steigt automatisch das Schutzniveau in der beratenen Einheit und reduziert das Risiko einer Cyberattacke.
6.3 Erinnerungen – Interview mit Prof. Heckmann
Rückblick in eine Sendung des BR aus dem Jahr 2017 mit einem Interview mit Prof. Dr. Heckmann. Es zeigt, dass wesentliche Fragen und die Auswirkungen der Digitalisierung auch schon früher bekannt waren.
6.4 Preisminderungsrechner bei Bandbreitenunterschreitung
Passend zum Rückblick auf alte Zeiten und das grundsätzliche Digitalisierungsversagen: Hier die Möglichkeit Abweichungen in der vereinbarten Bandbreite bezüglich der eigenen Infrastruktur durch einen Preisminderungsrechner zu kapitalisieren. Angeboten wird sie von der verbraucherzentrale Nordrhein-Westfalen, zu den Werten der tatsächlichen Bandbreite unterstützt ein Tool der BNetzA.
7 Sonstiges/Blick über den Tellerrand
7.1 Phishing-Attacken mit E-Mail-Adressen der Bunderegierung
Offensichtlich hat sich das Digitalisierungsversagen einiger Entscheidungsträger im politischen Berlin noch nicht in alle Kreise herumgesprochen, sonst würden wohl kaum Phishing-Attacken unter einer E-Mail-Adresse der Bunderegierung erfolgen.
7.2 Rückblick in die Entstehung der europäischen Gesetzgebung
Wer wissen will, wie alles begann, kann sich dieses Video auf YouTube zur Entwicklung der europäischen Datenschutz-Gesetzgebung ansehen (ca. 15 Minuten). Von wegen, erst seit 2018…
Franks Nachtrag: Lustig, ein nicht-gelistetes Video. Da werden wir aber die Zugriffszahlen hochtreiben. Und der Poster des Videos wirkt (nicht nur durch seinen Vortrag im Video) kompetent.
7.3 Betrachtung der Plattformen an Schulen
Viele Schulen schlitterten digital unvorbereitet in die Infektionsschutzmaßnahmen, die zu einem Distanzunterricht und zur verstärkten Nutzung von digitalen Plattformen führten. Natürlich folgten datenschutzrechtliche Bewertungen und oftmals auch Kritik. Nun gibt es eine internationale Untersuchung zu den genutzten und empfohlenen Plattformen. Der Bericht ist auf Englisch zugänglich.
7.4 Erpressung bei Bildern mit viel Haut
Nicht nur in Sommermonaten kommt es vor, dass auch junge Menschen, getrieben von hormonellen Veränderungen, dazu neigen, Bilder mit mehr Haut als textiler Abdeckung zu versenden. Dass dies nicht immer harmonisch endet, zeigen Fälle aus Brandenburg: Hier mündete es in Erpressungen der Absender. Daher erinnern Sie Ihre Kinder nicht nur daran, was mit solchen Bildern alles passieren kann, sondern ermutigen Sie sie auch sich bei Ihnen zu melden, wenn sie den Verdacht haben, dass etwas nicht ganz erwartungskonform läuft!
7.5 privacy4kids
Sie suchen etwas zur Bildung von Kindern und Jugendlichen: Videos und Materialien für Schulen gibt es nun auch aus Österreich, siehe auch Ziffer 1.10. Das beinhaltet Videos für die Altersgruppe der 6- bis 10-jährigen und der 10- bis 14-jährigen und einen Leitfaden für Lehrer:innen. Bemerkenswert ist u.a. die Beteiligung der Rechtswissenschaftlichen Fakultät der Universität Wien neben der Datenschutzbehörde.
7.6 Abwesenheitsmails durch Pferde
Es ist immer gut Adressaten von E-Mails im Urlaub auf die eigene Abwesenheit hinzuweisen und ggf. Auf einen alternativen Ansprechpartner oder eine Funktions-E-Mail hinzuweisen. Es gibt aber auch eine Dienstleistung, die die Abwesenheitsmeldungen durch Pferde erstellen lässt. Vielleicht denken Sie daran, wenn Sie in den Sommermonaten die eine oder andere Rückmeldung auf Ihre E-Mails bekommen.
Franks Anmerkung: Lustig. Aber besser finde ich eigentlich noch das Video zum Icelandverse. Take that, Metaverse!
8. Franks Zugabe
8.1 Apropos Onlinebanking
Hier musste ich mich ja schon im Nachtrag über finAPI aufregen.
Deswegen an dieser Stelle noch der Hinweis, dass es sinnvoll ist, bei jedem Anbieter genau bei den angebotenen Zahlungsmethoden zu differenzieren und sich immer für die beste Variante zu entscheiden. Merke: Giropay ist (noch) gut, Paydirekt nicht so sehr.
8.2 Lage der IT-Sicherheit
Wenn Sie sich für die Lage der IT-Sicherheit interessieren, gibt es viele Quellen. Eine bekannte ist der Bericht zur Lage der IT-Sicherheit des BSI. Aber kennen Sie auch das Bundeslagebild Cybersicherheit (ich hatte schon letztes Jahr auf den Vorgänger hingewiesen)?
Darin wird sehr kompakt und übersichtlich über typische Angriffsziele und -methoden von Cyberkriminellen berichtet.
8.3 Ransomware … mal anders …
Zum einen habe ich für Sie eine „texticular response“ der Bank of Zambia auf eine Ransomware-Attacke. Kommt daher die Redensart „to have the balls“?
Zum anderen habe ich für Sie die GoodWill ransomware. Hier geht es nicht um Geld oder Bitcoins (dazu sehen Sie sich bitte den nächsten Eintrag an), hier sollen die Opfer gute Taten vollbringen, diese per Video aufnehmen und die Videos veröffentlichen. Scheinbar gibt es noch keine Opfer, die sich geoutet haben. Robin Hood, irgendjemand?
8.4 Video-Vortrag: Was ist eigentlich eine Kryptowährung?
Diesen Vortrag habe ich mir in seiner gesamten Länge (ca. 50 Minuten plus kurze Frage- und Antwort-Session) angeschaut. Darin werden die Hintergründe u.a. zu Blockchain, Bitcoin und NFT erklärt. Vor Menschen aus dem Finanzsektor. Schon dieses Setting macht den Vortrag sehenswert. Ich bin nicht genug Experte, um zu wissen, ob alles, was der Vortragende, Felix von Leitner, sagt, auch richtig und wahr ist. Aber es klingt in sich plausibel und schlüssig. Und es ist so erklärt, dass es auch Banker verstehen können. Also haben auch wir eine Chance… 😜
Franks Nachtrag: (Ja, ich mache das immer noch, ich hatte den Blogbeitrag nämlich schon gepostet 🙄)
Die FTC hat einen nicht ganz so positiven Report über Kryptowährungen veröffentlicht. Hier gibts eine Zusammenfassung auf Twitter. Und hier habe ich davon gelesen.
8.5 GhostTouch – Touchscreens bedienen ohne Touch?
Nein, nicht wie Sie denken, also defekt. Sondern ohne Berührung.
Laut dieser Studie ist es unter Laborbedingungen möglich aus 40 mm Distanz per elektromagnetischer Interferenz mit Hilfe einer elektrostatischen Kanone auf dem Touch-Display Touches zu simulieren. Näheres entnehmen Sie diesem Artikel.
Hoffentlich bleinbt das noch lange nur eine theoretische Möglichkeit des Zugriffs auf Touchgeräte.
8.6 380 Jahre alte Attacke auf schwache RSA-Schlüssel
Na, das ist doch mal was. Wer hätte erwartet, dass ein Mathematiker vor 380 Jahren schon schwache RSA-Schlüssel knacken konnte? Im Artikel finden Sie die Erläuterung. Stark bleiben, zwischendurch wird es schon ziemlich nerdig. Aber es blieb (zumindest für mich) durchgängig nachvollziehbar.
Ich zitiere mal die letzten Worte aus dem Artikel:
„Wenn Sie mal auf der Suche nach schwachen RSA-Schlüsseln sind und diese überprüfen wollen, dann wissen Sie jetzt, wie Sie es mit der Faktorisierungsmethode von Fermat probieren können. Moral der Geschichte bleibt wohl, dass nicht alles, was sicher scheint, auch wirklich sicher ist. Vertrauen ist gut, Kontrolle ist besser: Dass viele die Sicherheit der Schlüssel nicht hinterfragt haben, war vermutlich der einzige Grund, weshalb es keine schwerwiegenden Angriffe gegeben hat. Manchmal braucht es eben einen Sicherheitsforscher, der nochmal genauer hinschaut und angeblich unknackbare Schlüssel unter die Lupe nimmt.“
8.7 Android vs. iOS
Im verlinkten Artikel Datenschutz und Sicherheit: Android vs. iOS – Teil1 vergleicht der Autor die beiden großen Smartphone-Betriebssysteme (und ein entgoogeltes Smartphone). Ich bin gespannt auf Teil 2. Bisher ist es für mich als Apple-Nutzer eher ernüchternd. Aber nicht wirklich unerwartet.
8.8 AirPods: Firmware-Update manuell anstoßen
Dieser Tipp mag AirPod-Nutzern helfen, wenn es mal mit dem Update klemmt.
8.9 GDPR for Dummies
Aus dem verlinkten Beitrag:
„Kennst du die 7 Grundprinzipien der Datenschutz-Grundverordnung und weißt du, warum sie so wichtig sind? Hier erfährst du, was wir alle über diese Grundsätze wissen sollten.“
Wenn Sie das Thema mal niederschwelliger erklären wollen.
8.10 Zehn Beispiele, wie KI in unseren Alltag vordringt
Auch hier darf ich bitte aus dem verlinkten Artikel zitieren:
„Künstliche Intelligenz macht unser Leben sicherer, einfacher und gesünder. Aber manchmal stellt sie auch eine ernsthafte Bedrohung für unsere Rechte und die Gesellschaft als Ganzes dar. Hier sind 10 Beispiele dafür.“
Wo wir doch hier immer so viel über KI schreiben.